GitHub открыл полный доступ к бесплатному сервису проверки публичных репозиториев на наличие «утечек» данных

Вроде паролей, ключей и токенов аутентификации.

GitHub завершил бета-тестирование своего сканера «секретных данных». Первая версия общедоступного сервиса вышла в середине декабря 2022 года, но разработчики получали её постепенно. До этого пользоваться им могли только владельцы лицензии на продукт GitHub Advanced Security, работающие в облаке GitHub Enterprise Cloud.
Теперь бесплатная проверка публичных репозиториев доступна всем разработчикам. Она поможет убедиться, что в коде, его описаниях, сведениях об ошибках, а также комментариях нет «секретов»: учётных данных, нужных для подключения к корпоративной инфраструктуре, приватных ключей, сертификатов и токенов API.
Чтобы запустить сканер, администратор репозитория должен зайти в «Настройки», слева выбрать раздел «Безопасность и анализ кода» и в нём нажать «Сканирование секретов» и «Разрешить». Подробнее о функции можно прочитать в документации GitHub.
По данным компании, после начала бета-тестирования сервис проверил около 70 тысяч публичных репозиториев. Так, в одном из примеров айтишник просканировал 14 тысяч своих хранилищ и обнаружил там более 1000 «секретов». За весь 2022 год GitHub зафиксировала наличие более 1,7 млн конфиденциальных данных в открытом коде.

#новость #github